Ubuntu20.04で認証局(CA)を設定および構成する方法
序章
認証局(CA)は、インターネット上のIDを検証するためのデジタル証明書の発行を担当するエンティティです。 パブリックCAは、一般の人々に提供されるWebサイトやその他のサービスのIDを確認するための一般的な選択肢ですが、プライベートCAは通常、クローズドグループやプライベートサービスに使用されます。
プライベート認証局を構築すると、クライアントとサーバー間の暗号化された接続を必要とするプログラムを構成、テスト、および実行できるようになります。 プライベートCAを使用すると、インフラストラクチャ内のユーザー、サーバー、または個々のプログラムとサービスの証明書を発行できます。
独自のプライベートCAを使用するLinux上のプログラムの例としては、OpenVPNおよびPuppetがあります。 開発環境とステージング環境をTLSを使用して接続を暗号化する実稼働サーバーと一致させるために、プライベートCAによって発行された証明書を使用するようにWebサーバーを構成することもできます。
このガイドでは、Ubuntu 20.04サーバーにプライベート認証局を設定する方法と、新しいCAを使用してテスト証明書を生成して署名する方法を学習します。 また、CAサーバーの公開証明書をオペレーティングシステムの証明書ストアにインポートして、CAとリモートサーバーまたはユーザー間の信頼の鎖を確認する方法についても学習します。 最後に、証明書を失効させ、証明書失効リストを配布して、許可されたユーザーとシステムのみがCAに依存するサービスを使用できるようにする方法を学習します。
前提条件
このチュートリアルを完了するには、CAサーバーをホストするUbuntu20.04サーバーにアクセスする必要があります。 root以外のユーザーを次のように構成する必要があります。 sudo
このガイドを開始する前に特権。 Ubuntu 20.04初期サーバーセットアップガイドに従って、適切な権限を持つユーザーをセットアップできます。 リンクされたチュートリアルでは、ファイアウォールも設定されます。これは、このガイド全体で使用されていると想定されています。
このチュートリアルでは、このサーバーをCAサーバーと呼びます。
CAServerがスタンドアロンシステムであることを確認します。 これは、証明書要求のインポート、署名、および取り消しにのみ使用されます。 他のサービスを実行しないでください。理想的には、CAをアクティブに操作していないときは、オフラインになるか、完全にシャットダウンされます。
注:証明書の署名と取り消しについて学習したい場合、このチュートリアルの最後のセクションはオプションです。 これらの練習手順を完了することを選択した場合は、2台目のUbuntu 20.04サーバーが必要になります。または、UbuntuまたはDebian、あるいはこれらのいずれかから派生したディストリビューションを実行する独自のローカルLinuxコンピューターを使用することもできます。
ステップ1—Easy-RSAのインストール
このチュートリアルの最初のタスクは、 easy-rsa
CAサーバ上の一連のスクリプト。 easy-rsa
は、秘密鍵と公開ルート証明書を生成するために使用する認証局管理ツールであり、CAに依存するクライアントとサーバーからの要求に署名するために使用します。
初期設定手順で作成したroot以外のsudoユーザとしてCAServerにログインし、以下を実行します。
- sudo apt update
- sudo apt install easy-rsa
パッケージをダウンロードしてインストールするように求められます。 プレス y
パッケージをインストールすることを確認します。
この時点で、必要なものがすべてセットアップされ、Easy-RSAを使用する準備が整いました。 次のステップでは、公開鍵インフラストラクチャを作成してから、認証局の構築を開始します。
ステップ2—公開鍵インフラストラクチャディレクトリの準備
インストールしたので easy-rsa
、CAサーバー上にスケルトン公開鍵インフラストラクチャ(PKI)を作成するときが来ました。 root以外のユーザーとしてログインしていることを確認し、 easy-rsa
ディレクトリ。 通常のユーザーは昇格された特権なしでCAを管理および操作する必要があるため、sudoを使用して次のコマンドを実行しないでください。
- mkdir ~/easy-rsa
これにより、という新しいディレクトリが作成されます easy-rsa
ホームフォルダにあります。 このディレクトリを使用して、 easy-rsa
前の手順でインストールしたパッケージファイル。 これらのファイルはにあります /usr/share/easy-rsa
CAサーバのフォルダ。
でシンボリックリンクを作成します ln
指図:
- ln -s /usr/share/easy-rsa/* ~/easy-rsa/
注:他のガイドがあなたにコピーするように指示するかもしれませんが easy-rsa
ファイルをPKIディレクトリにパッケージ化する場合、このチュートリアルではシンボリックリンクアプローチを採用しています。 その結果、 easy-rsa
パッケージは、PKIのスクリプトに自動的に反映されます。
新しいPKIディレクトリへのアクセスを制限するには、所有者のみがを使用してアクセスできるようにします。 chmod
指図:
- chmod 700 /home/sammy/easy-rsa
最後に、内部のPKIを初期化します easy-rsa
ディレクトリ:
- cd ~/easy-rsa
- ./easyrsa init-pki
Outputinit-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /home/sammy/easy-rsa/pki
このセクションを完了すると、認証局の作成に必要なすべてのファイルを含むディレクトリが作成されます。 次のセクションでは、CAの秘密鍵と公開証明書を作成します。
ステップ3—認証局を作成する
CAの秘密鍵と証明書を作成する前に、次のファイルを作成してデータを入力する必要があります。 vars
いくつかのデフォルト値があります。 まず、 cd
に easy-rsa
ディレクトリ、次に作成して編集します vars
とファイル nano
またはお好みのテキストエディタ:
- cd ~/easy-rsa
- nano vars
ファイルを開いたら、次の行を貼り付け、強調表示された各値を編集して、独自の組織情報を反映させます。 ここで重要なのは、値を空白のままにしないようにすることです。
~/easy-rsa/varsset_var EASYRSA_REQ_COUNTRY "US"
set_var EASYRSA_REQ_PROVINCE "NewYork"
set_var EASYRSA_REQ_CITY "New York City"
set_var EASYRSA_REQ_ORG "DigitalOcean"
set_var EASYRSA_REQ_EMAIL "[email protected]"
set_var EASYRSA_REQ_OU "Community"
set_var EASYRSA_ALGO "ec"
set_var EASYRSA_DIGEST "sha512"
終了したら、ファイルを保存して閉じます。 使用している場合 nano
、を押すことでそうすることができます CTRL+X
、 それから Y
と ENTER
確認するために。 これで、CAを構築する準備が整いました。
認証局のルート公開鍵と秘密鍵のペアを作成するには、 ./easy-rsa
もう一度コマンドを実行します。 build-ca
オプション:
- ./easyrsa build-ca
出力には、OpenSSLバージョンに関するいくつかの行が表示され、キーペアのパスフレーズを入力するように求められます。 必ず強力なパスフレーズを選択し、安全な場所に書き留めてください。 証明書に署名したり取り消したりするなど、CAとやり取りする必要があるときはいつでも、パスフレーズを入力する必要があります。
また、CAの共通名(CN)を確認するように求められます。 CNは、認証局のコンテキストでこのマシンを参照するために使用される名前です。 CAの共通名には任意の文字列を入力できますが、簡単にするために、Enterキーを押してデフォルト名を受け入れます。
Output. . .
Enter New CA Key Passphrase:
Re-Enter New CA Key Passphrase:
. . .
Common Name (eg: your user, host, or server name) [Easy-RSA CA]:
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/home/sammy/easy-rsa/pki/ca.crt
注: CAとやり取りするたびにパスワードの入力を求められたくない場合は、次のコマンドを実行できます。 build-ca
とのコマンド nopass
このようなオプション:
- ./easyrsa build-ca nopass
これで、2つの重要なファイルができました— ~/easy-rsa/pki/ca.crt
と ~/easy-rsa/pki/private/ca.key
—認証局のパブリックコンポーネントとプライベートコンポーネントを構成します。
-
ca.crt
CAの公開証明書ファイルです。 ユーザー、サーバー、およびクライアントは、この証明書を使用して、それらが同じ信頼のWebの一部であることを確認します。 CAを使用するすべてのユーザーとサーバーは、このファイルのコピーを持っている必要があります。 すべての関係者は、誰かがシステムになりすまして中間者攻撃を実行していないことを確認するために、公開証明書に依存します。 -
ca.key
CAがサーバーとクライアントの証明書に署名するために使用する秘密鍵です。 攻撃者があなたのCAにアクセスし、次にあなたのCAにアクセスした場合ca.key
ファイル、あなたはあなたのCAを破壊する必要があります。 これがあなたのca.key
ファイルはのみがCAマシン上にある必要があり、理想的には、追加のセキュリティ対策として証明書要求に署名しない場合は、CAマシンをオフラインに保つ必要があります。
これで、CAが配置され、証明書要求に署名したり、証明書を失効させたりするために使用できるようになります。
ステップ4—認証局の公開証明書を配布する
これで、CAが構成され、それを使用するように構成するシステムの信頼のルートとして機能する準備が整いました。 CAの証明書をOpenVPNサーバー、Webサーバー、メールサーバーなどに追加できます。 ネットワーク内の別のユーザーまたはサーバーのIDを確認する必要があるユーザーまたはサーバーには、 ca.crt
オペレーティングシステムの証明書ストアにインポートされたファイル。
CAの公開証明書を別のサーバーやローカルコンピューターなどの2番目のLinuxシステムにインポートするには、最初に ca.crt
CAサーバーからのファイル。 あなたは使用することができます cat
コマンドを使用して端末に出力し、証明書をインポートしている2番目のコンピューター上のファイルにコピーして貼り付けます。 次のようなツールも使用できます scp
, rsync
システム間でファイルを転送します。 ただし、コピーアンドペーストを使用します nano
すべてのシステムで機能するため、このステップで。
CA Serverのroot以外のユーザとして、次のコマンドを実行します。
- cat ~/easy-rsa/pki/ca.crt
次のような出力が端末に表示されます。
Output-----BEGIN CERTIFICATE-----
MIIDSzCCAjOgAwIBAgIUcR9Crsv3FBEujrPZnZnU4nSb5TMwDQYJKoZIhvcNAQEL
BQAwFjEUMBIGA1UEAwwLRWFzeS1SU0EgQ0EwHhcNMjAwMzE4MDMxNjI2WhcNMzAw
. . .
. . .
-----END CERTIFICATE-----
を含むすべてをコピーします -----BEGIN CERTIFICATE-----
と -----END CERTIFICATE-----
線とダッシュ。
2番目のLinuxシステムでの使用 nano
または、というファイルを開くための好みのテキストエディタ /tmp/ca.crt
:
- nano /tmp/ca.crt
CAServerからコピーした内容をエディタに貼り付けます。 終了したら、ファイルを保存して閉じます。 使用している場合 nano
、を押すことでそうすることができます CTRL+X
、 それから Y
と ENTER
確認するために。
これで、 ca.crt
2番目のLinuxシステムでファイルを作成したら、オペレーティングシステムの証明書ストアに証明書をインポートします。
UbuntuおよびDebianベースのシステムでは、root以外のユーザーとして次のコマンドを実行して、証明書をインポートします。
- sudo cp /tmp/ca.crt /usr/local/share/ca-certificates/
- sudo update-ca-certificates
CentOS、Fedora、またはRedHatベースのシステムにCAサーバーの証明書をインポートするには、前の例と同じように、ファイルの内容をコピーしてシステムに貼り付けます。 /tmp/ca.crt
. 次に、証明書をにコピーします /etc/pki/ca-trust/source/anchors/
、次に実行します update-ca-trust
指図。
- sudo cp /tmp/ca.crt /etc/pki/ca-trust/source/anchors/
- sudo update-ca-trust
これで、2番目のLinuxシステムは、CAサーバーによって署名されたすべての証明書を信頼します。
注: WebサーバーでCAを使用していて、ブラウザーとしてFirefoxを使用している場合は、パブリックをインポートする必要があります ca.crt
Firefoxに直接証明書を送信します。 Firefoxはローカルオペレーティングシステムの証明書ストアを使用しません。 CAの証明書をFirefoxに追加する方法の詳細については、 Firefoxでの認証局(CA)の設定に関するMozillaのこのサポート記事を参照してください。
CAを使用してWindows環境またはデスクトップコンピューターと統合している場合は、使用方法に関するドキュメントを参照してください。 certutil.exe
CA証明書をインストールします。
このチュートリアルを別のチュートリアルの前提条件として使用している場合、または証明書に署名して取り消す方法に精通している場合は、ここで停止できます。 証明書に署名して取り消す方法について詳しく知りたい場合は、次のオプションのセクションで各プロセスについて詳しく説明します。
(オプション)—証明書署名要求の作成と証明書の取り消し
チュートリアルの次のセクションはオプションです。 これまでのすべての手順を完了した場合は、他のチュートリアルの前提条件として使用できる、完全に構成され機能している認証局があります。 CAをインポートできます ca.crt
CAによって署名されたネットワーク内の証明書をファイルして検証します。
証明書要求に署名する方法、および証明書を取り消す方法について練習し、詳細を知りたい場合は、これらのオプションのセクションで、両方のプロセスがどのように機能するかを説明します。
(オプション)—実践証明書リクエストの作成と署名
CAを使用する準備ができたので、秘密鍵と証明書の要求の生成を練習して、署名と配布のプロセスに慣れることができます。
証明書署名要求(CSR)は、要求システムに関する識別情報である公開鍵と、要求側の秘密鍵を使用して作成された要求自体の署名の3つの部分で構成されます。 秘密鍵は秘密にされ、署名された公開証明書を持っている人なら誰でも復号化できる情報を暗号化するために使用されます。
次の手順は、2番目のUbuntuまたはDebianシステム、あるいはこれらのいずれかから派生したディストリビューションで実行されます。 別のリモートサーバー、またはラップトップやデスクトップコンピューターなどのローカルLinuxマシンの場合があります。 以来 easy-rsa
すべてのシステムでデフォルトで使用できるわけではありません。 openssl
練習用の秘密鍵と証明書を作成するためのツール。
openssl
通常、ほとんどのLinuxディストリビューションにはデフォルトでインストールされますが、念のため、システムで次のコマンドを実行します。
- sudo apt update
- sudo apt install openssl
インストールを求められたら openssl
入力 y
インストール手順を続行します。 これで、実践的なCSRを作成する準備が整いました。 openssl
.
CSRを作成するために完了する必要がある最初のステップは、秘密鍵を生成することです。 を使用して秘密鍵を作成するには openssl
、作成する practice-csr
ディレクトリを作成し、その中にキーを生成します。 と呼ばれる架空のサーバーに対してこのリクエストを行います sammy-server
、ユーザーまたは別のCAを識別するために使用される証明書を作成するのとは対照的です。
- mkdir ~/practice-csr
- cd ~/practice-csr
- openssl genrsa -out sammy-server.key
OutputGenerating RSA private key, 2048 bit long modulus (2 primes)
. . .
. . .
e is 65537 (0x010001)
秘密鍵ができたので、これも対応するCSRを作成できます。 openssl
効用。 国、州、市などのいくつかのフィールドに入力するように求められます。 あなたは入力することができます .
フィールドを空白のままにしたいが、これが実際のCSRである場合は、場所と組織に正しい値を使用するのが最善であることに注意してください。
- openssl req -new -key sammy-server.key -out sammy-server.req
Output. . .
-----
Country Name (2 letter code) [XX]:US
State or Province Name (full name) []:New York
Locality Name (eg, city) [Default City]:New York City
Organization Name (eg, company) [Default Company Ltd]:DigitalOcean
Organizational Unit Name (eg, section) []:Community
Common Name (eg, your name or your server's hostname) []:sammy-server
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
これらの値をの一部として自動的に追加したい場合 openssl
インタラクティブプロンプトを介する代わりに、呼び出しを渡すことができます -subj
OpenSSLへの引数。 練習場所、組織、サーバー名に一致するように、強調表示された値を必ず編集してください。
- openssl req -new -key sammy-server.key -out server.req -subj \
- /C=US/ST=New\ York/L=New\ York\ City/O=DigitalOcean/OU=Community/CN=sammy-server
CSRの内容を確認するには、リクエストファイルを次のように読み込むことができます。 openssl
内部のフィールドを調べます。
- openssl req -in sammy-server.req -noout -subject
Outputsubject=C = US, ST = New York, L = New York City, O = DigitalOcean, OU = Community, CN = sammy-server
練習証明書のリクエストの件名に満足したら、 sammy-server.req
を使用してCAサーバーにファイルする scp
:
- scp sammy-server.req sammy@your_ca_server_ip:/tmp/sammy-server.req
このステップでは、架空のサーバーの証明書署名要求を生成しました。 sammy-server
. 実際のシナリオでは、要求は、テスト用にTLS証明書を必要とするステージングまたは開発Webサーバーのようなものからのものである可能性があります。 または、ユーザーがVPNに接続できるように証明書を要求しているOpenVPNサーバーから取得することもできます。 次のステップでは、CAServerの秘密鍵を使用して証明書署名要求に署名します。
(オプション)—CSRへの署名
前の手順では、架空のサーバーの練習証明書リクエストとキーを作成しました。 あなたはそれをにコピーしました /tmp
CAサーバー上のディレクトリ。署名が必要なCSR要求を送信する実際のクライアントまたはサーバーがある場合に使用するプロセスをエミュレートします。
架空のシナリオを続けると、CAServerは練習証明書をインポートして署名する必要があります。 証明書要求がCAによって検証され、サーバーに中継されると、認証局を信頼するクライアントは、新しく発行された証明書も信頼できるようになります。
CAのPKI内で運用するため、 easy-rsa
ユーティリティが利用可能である場合、署名手順では easy-rsa
を使用するのではなく、物事を簡単にするユーティリティ openssl
前の例で行ったように直接。
架空のCSRに署名するための最初のステップは、 easy-rsa
脚本:
- cd ~/easy-rsa
- ./easyrsa import-req /tmp/sammy-server.req sammy-server
Output. . .
The request has been successfully imported with a short name of: sammy-server
You may now use this name to perform signing operations on this request.
これで、を実行してリクエストに署名できます easyrsa
スクリプトと sign-req
オプションの後に、CSRに含まれる要求タイプと共通名が続きます。 リクエストタイプは、次のいずれかになります。 client
, server
、 また ca
. 架空のサーバーの証明書を使用して練習しているため、必ず server
リクエストの種類:
- ./easyrsa sign-req server sammy-server
出力では、リクエストが信頼できるソースからのものであることを確認するように求められます。 タイプ yes
次にを押します ENTER
これを確認するには:
OutputYou are about to sign the following certificate.
Please check over the details shown below for accuracy. Note that this request
has not been cryptographically verified. Please be sure it came from a trusted
source or that you have verified the request checksum with the sender.
Request subject, to be signed as a server certificate for 3650 days:
subject=
commonName = sammy-server
Type the word 'yes' to continue, or any other input to abort.
Confirm request details: yes
. . .
Certificate created at: /home/sammy/easy-rsa/pki/issued/sammy-server.crt
CAキーを暗号化した場合は、この時点でパスワードの入力を求められます。
これらの手順が完了すると、 sammy-server.req
でCAサーバーの秘密鍵を使用するCSR /home/sammy/easy-rsa/pki/private/ca.key
. 結果として sammy-server.crt
ファイルには、練習用サーバーの公開暗号化キーと、CAサーバーからの新しい署名が含まれています。 署名のポイントは、CAを信頼するすべての人に、CAも信頼できることを伝えることです。 sammy-server
証明書。
この要求がWebサーバやVPNサーバなどの実サーバに対するものである場合、CAサーバの最後のステップは新しいものを配布することです。 sammy-server.crt
と ca.crt
CAサーバーからCSR要求を行ったリモートサーバーへのファイル:
- scp pki/issued/sammy-server.crt sammy@your_server_ip:/tmp
- scp pki/ca.crt sammy@your_server_ip:/tmp
この時点で、発行された証明書をWebサーバー、VPN、構成管理ツール、データベースシステムなどで使用したり、クライアント認証の目的で使用したりできるようになります。
(オプション)—証明書の取り消し
場合によっては、ユーザーまたはサーバーが証明書を使用できないようにするために、証明書を取り消す必要があります。 誰かのラップトップが盗まれたか、Webサーバーが侵害されたか、従業員または請負業者が組織を去った可能性があります。
証明書を取り消すには、一般的なプロセスは次の手順に従います。
- で証明書を取り消します
./easyrsa revoke client_name
指図。 - を使用して新しいCRLを生成します
./easyrsa gen-crl
指図。 - 更新されたものを転送する
crl.pem
CAに依存する1つまたは複数のサーバーにファイルを送信し、それらのシステムで、それを参照するプログラムに必要な1つまたは複数のディレクトリにファイルをコピーします。 - CAとCRLファイルを使用するすべてのサービスを再起動します。
このプロセスを使用して、以前に発行した証明書をいつでも取り消すことができます。 次のセクションでは、各ステップについて詳しく説明します。 revoke
指図。
証明書の取り消し
証明書を取り消すには、に移動します easy-rsa
CAサーバー上のディレクトリ:
- cd ~/easy-rsa
次に、を実行します easyrsa
スクリプトと revoke
オプションの後に、取り消すクライアント名が続きます。 上記の実践例に従うと、証明書の一般名は次のようになります。 sammy-server
:
- ./easyrsa revoke sammy-server
これにより、次のように入力して失効を確認するように求められます yes
:
OutputPlease confirm you wish to revoke the certificate with the following subject:
subject=
commonName = sammy-server
Type the word 'yes' to continue, or any other input to abort.
Continue with revocation: yes
. . .
Revoking Certificate 8348B3F146A765581946040D5C4D590A
. . .
で強調表示されている値に注意してください Revoking Certificate
ライン。 この値は、取り消されている証明書の一意のシリアル番号です。 このセクションの最後のステップで失効リストを調べて、証明書が含まれていることを確認する場合は、この値が必要になります。
アクションを確認した後、CAは証明書を取り消します。 ただし、CAに依存するリモートシステムには、証明書が取り消されているかどうかを確認する方法がありません。 ユーザーとサーバーは、CAの証明書失効リスト(CRL)がCAに依存するすべてのシステムに配布されるまで、引き続き証明書を使用できます。
次のステップでは、CRLを生成するか、既存の crl.pem
ファイル。
証明書失効リストの生成
証明書を取り消すことができたので、CAサーバで取り消された証明書のリストを更新することが重要です。 失効リストを更新すると、CAに有効な証明書を持っているユーザーとシステムを確認できます。
CRLを生成するには、 easy-rsa
とのコマンド gen-crl
まだ中にいる間のオプション ~/easy-rsa
ディレクトリ:
- ./easyrsa gen-crl
作成時にパスフレーズを使用した場合 ca.key
ファイルの場合、入力するように求められます。 The gen-crl
コマンドはと呼ばれるファイルを生成します crl.pem
、そのCAの失効した証明書の更新されたリストが含まれています。
次に、更新されたものを転送する必要があります crl.pem
を実行するたびに、このCAに依存するすべてのサーバーとクライアントにファイルを送信します。 gen-crl
指図。 それ以外の場合、クライアントとシステムは、CAを使用するサービスとシステムにアクセスできます。これらのサービスは、証明書の失効ステータスを知る必要があるためです。
証明書失効リストの転送
CAサーバーでCRLを生成したので、CAに依存するリモートシステムにCRLを転送する必要があります。 このファイルをサーバーに転送するには、 scp
指図。
注:このチュートリアルでは、CRLを手動で生成および配布する方法について説明します。 OCSP-Stapling のような失効リストを配布およびチェックするためのより堅牢で自動化された方法がありますが、これらの方法の構成はこの記事の範囲を超えています。
root以外のユーザーとしてCAサーバーにログインしていることを確認し、次のコマンドを実行します。代わりに、独自のサーバーIPまたはDNS名を使用します。 your_server_ip
:
- scp ~/easy-rsa/pki/crl.pem sammy@your_server_ip:/tmp
ファイルがリモートシステム上にあるので、最後のステップは、失効リストの新しいコピーでサービスを更新することです。
CRLをサポートするサービスの更新
を使用するサービスを更新するために使用する必要があるステップのリスト crl.pem
ファイルはこのチュートリアルの範囲を超えています。 一般的に、あなたはコピーする必要があります crl.pem
サービスが期待する場所にファイルを作成し、を使用して再起動します systemctl
.
新しいサービスでサービスを更新したら crl.pem
ファイルを使用すると、サービスは、取り消された証明書を使用しているクライアントまたはサーバーからの接続を拒否できるようになります。
CRLの内容の調査と検証
失効した証明書のリストを確認するなど、CRLファイルを調べたい場合は、次を使用します。 openssl
あなたの中からのコマンド easy-rsa
CAサーバー上のディレクトリ:
- cd ~/easy-rsa
- openssl crl -in pki/crl.pem -noout -text
このコマンドは、次のようなサーバーまたはシステムでも実行できます。 openssl
のコピーとともにインストールされたツール crl.pem
ファイル。 たとえば、 crl.pem
2番目のシステムにファイルし、 sammy-server
証明書が取り消され、使用できます openssl
次のようなコマンドを使用して、ここで強調表示されているものの代わりに、証明書を取り消したときに以前にメモしたシリアル番号を置き換えます。
- openssl crl -in /tmp/crl.pem -noout -text |grep -A 1 8348B3F146A765581946040D5C4D590A
Output Serial Number: 8348B3F146A765581946040D5C4D590A
Revocation Date: Apr 1 20:48:02 2020 GMT
どのように grep
コマンドは、失効ステップでメモした一意のシリアル番号を確認するために使用されます。 これで、ユーザーとサービスへのアクセスを制限するために証明書失効リストに依存しているシステムで、証明書失効リストの内容を確認できます。
結論
このチュートリアルでは、スタンドアロンのUbuntu20.04サーバーでEasy-RSAパッケージを使用してプライベート認証局を作成しました。 CAに依存する当事者間で信頼モデルがどのように機能するかを学びました。 また、練習用サーバーの証明書署名要求(CSR)を作成して署名し、証明書を取り消す方法を学びました。 最後に、CAに依存するシステムの証明書失効リスト(CRL)を生成および配布して、サービスにアクセスしてはならないユーザーまたはサーバーがアクセスできないようにする方法を学びました。
これで、ユーザーに証明書を発行して、OpenVPNなどのサービスで使用できるようになりました。 CAを使用して、証明書を使用して開発およびステージングWebサーバーを構成し、非実稼働環境を保護することもできます。 開発中にTLS証明書でCAを使用すると、コードと環境を本番環境と可能な限り一致させることができます。
OpenSSLの使用方法について詳しく知りたい場合は、 OpenSSL Essentials:SSL証明書、秘密鍵、およびCSRの操作チュートリアルに、OpenSSLの基本を理解するのに役立つ多くの追加情報があります。